Android-hacker och professionell säkerhetskonsult Dan Rosenberg (du kanske känner honom som djrbliss från Internets) har avslutat sin egen studie på Carrier IQ och hittat några intressanta resultat. Alla dessa rapporter om loggning av tangenttryckningar och spionering på sms-meddelanden ser ut att ha skyltats på fel part, eftersom hans forskning visar att Carrier IQ som skriven bara kan fånga uppgifterna som operatören skickar till den (känd som metrics), och även då måste fortfarande konsultera en profil (tänk på den som en inställningssida för alla appar) som en operatör har fått CIQ att skriva specifikt för sin installation. Med hans egna ord:
Kära Internet, CarrierIQ gör en hel del dåliga saker. Det är en potentiell risk för användarnas integritet och användare bör ges möjlighet att välja bort den.
Men människor måste inse att det finns en stor skillnad mellan att spela in händelser som tangenttryckningar och HTTPS-URL: er till en felsökningsbuffert (vilket är ganska dåligt av sig själv), och faktiskt samla in, lagra och överföra denna information till operatörer (vilket inte händer). Efter att ha utfört omvänd teknik CarrierIQ, har jag inte sett några bevis för att de samlar in något mer än vad de offentligt har hävdat: anonymiserade mätuppgifter. Det finns en stor skillnad mellan "titta, det gör något när jag trycker på en knapp" och "det skickar alla mina tangenttryckningar till transportören!". Baserat på vad jag har sett finns det ingen kod i CarrierIQ som faktiskt registrerar tangenttryckningar för datainsamling. Det faktum att det finns krokar i dessa händelser tyder naturligtvis på att framtida versioner kan missbruka denna typ av funktionalitet, och CIQ bör hållas ansvarigt och vara noggrant granskad så att denna typ av integritetsinvasion inte inträffar. Men allt det senaste bruset på detta är mestadels ogrundat.
Det finns gott om skäl att vara upprörd över CIQ, men snälla hoppa inte till slutsatser baserade på ofullständiga bevis.
Hälsningar,
Dan Rosenberg
Så hur är det med allt det vi ser på Trevor Eckharts video av EVO i aktion? Det är uppenbarligen där, så vad är det med allt detta? Vi är inte säkerhetsforskare, professionella eller på annat sätt, men vi är nördar som läser om exploater och säkerhet varje dag. Det bästa vi kan räkna med är att HTC har exponerat dessa händelser för loggen medan han skickat den som anonyma metriska data till Carrier IQ-appen. Det finns fortfarande inga bevis, och aldrig var, att någon av dessa uppgifter skickas någonstans.
Det största att ta bort från den här nyheten är att även om Carrier IQ är skrämmande, och många av oss anser dem vara onda, tillhandahåller de bara en tjänst för att samla in data som transportörer och OEM: s gör tillgängliga. Detta måste göras mer öppet, eftersom det aldrig kommer att försvinna - om du inte gillar det inte använder vårt nätverk, är det ingen som håller en pistol i huvudet är troligtvis bärarens ståndpunkt i ämnet, och i ett sätt de har rätt. Vårt val i frågan är att inte spendera våra pengar med dem, och himlen vet att jag förstår hur upopulär den idén är från första hand. Men saker ser mer och mer ut som transportörer och tillverkare behöver dela lite av skulden här, och hela detta rörelse är över ett enkelt sätt att samla in data som de redan har samlat in.
När vi är klara här kan vi börja titta på hur företagen som rusade fram och skrek "Vi använder inte Carrier IQ på våra telefoner" samlar in samma data med något annat än Carrier IQ, så vi kan vara säkra på att förändringar är gjort över hela linjen kontra att korsföra ett litet företag i Silicon Valley.
Källa: Vulnfactory; pastebin
